I'n Blog 之萬象真藏

ezTravel易遊網網站被發現存在XSS(Cross-Site Scripting)安全漏洞，到目前為止，尚未修復。(Credit: 天罣)

跨站腳本攻擊(XSS)：駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言，造成其他正常使用者在觀看網頁的同時，瀏覽器會主動下載並執行部份惡意的程式碼，或被暗地裡導入到惡意 的網站，而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能，加入許多允許使用者輸入字串的欄位，如：留言板、討論區、查詢欄位等；有 些互動的功能能將使用者輸入的字串存入後端資料庫，如果駭客輸入某些含有攻擊式的語言，一旦使用者進入此頁面時，因執行未預期的動作而將遭受某種程度的威 脅。

全 球網際網路內容安全領導廠商趨勢科技今日指出，全球遭灰色程式及犯罪程式感染的電腦已高達 72.5 %！此項統計為透過線上掃毒軟體HouseCall 針對包含台灣、澳洲、中國、美國等二十個國家及地區的291,084 台電腦進行掃瞄 (註一)，結果顯示各類不懷好意的灰色程式早已攻佔其中，並且被植入廣告程式 (Adware) 的比例更高居 38.6 %，跟六個月前的統計數字相較，為四類灰色程式中唯一上揚的一項，突顯透過植入廣告程式來獲利的手法已成為駭客圖利的另一種管道。

精誠資訊網站又被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞，到目前為止，尚未修復 (之前的解決方案，只是將首頁的搜尋頁面拿到，實際上，並沒有修補XSS漏洞 )。

跨站腳本攻擊(XSS)：駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言，造成其他正常使用者在觀看網頁的同時，瀏覽器會主動下載並執行部份惡意的程式碼，或被暗地裡導入到惡意 的網站，而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能，加入許多允許使用者輸入字串的欄位，如：留言板、討論區、查詢欄位等；有 些互動的功能能將使用者輸入的字串存入後端資料庫，如果駭客輸入某些含有攻擊式的語言，一旦使用者進入此頁面時，因執行未預期的動作而將遭受某種程度的威 脅。

中華軟協資安促進會網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞，到目前為止，尚未修復。(Credit: 天罣)

跨站腳本攻擊(XSS)：駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言，造成其他正常使用者在觀看網頁的同時，瀏覽器會主動下載並執行部份惡意的程式碼，或被暗地裡導入到惡意 的網站，而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能，加入許多允許使用者輸入字串的欄位，如：留言板、討論區、查詢欄位等；有 些互動的功能能將使用者輸入的字串存入後端資料庫，如果駭客輸入某些含有攻擊式的語言，一旦使用者進入此頁面時，因執行未預期的動作而將遭受某種程度的威 脅。

注意：請各位幫忙通知他們，謝謝。

麗嬰房媽咪旗下部落格被植入惡意連結，此惡意程式為 TSPY_ONLINEG.IA (竊取帳號與密碼之木馬)，，最近有瀏覽這個網頁的網友，請要盡速檢查自己的電腦是否有中毒的情形 (旗下幾乎所有網友的部落格皆有問題，很糟糕，應該很多網友中毒)。(Credit: Google)

對此網址，McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果，都顯示正常，證明此種技術並非Web安全威脅的完美解決分案，換言之，資訊安全絕對無法做到百分百的安全。

台灣 Nikon 網站被植入惡意連結，此惡意程式為 VBS_AGENT.ALYZ，，最近有瀏覽這個網頁的網友，請要盡速檢查自己的電腦是否有中毒的情形 (台灣 Nikon 網站目前在重建中，但常常被植入惡意連結，請各位不要瀏覽此網站)。

對此網址，Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果，都顯示正常，證明此種技術並非Web安全威脅的完美解決分案，換言之，資訊安全絕對無法做到百分百的安全。

台灣租車旅遊集團網站被植入惡意連結，此惡意程式為 HTML/Infected.WebPage.Gen，但目前使用 Hinet ADSL 無法連上此惡意連結，使用其他廠商的 ADSL 用戶可能要小心。(Credit: dwjum)

對此網址，Google Search、McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果，都顯示正常，證明此種技術並非Web安全威脅的完美解決分案，換言之，資訊安全絕對無法做到百分百的安全。

中小企業網路大學校網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞，到目前為止，尚未修復 (此網站的主辦單位是經濟部中小企業處，而執行單位是中華民國資訊軟體協會)。

跨站腳本攻擊(XSS)：駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言，造成其他正常使用者在觀看網頁的同時，瀏覽器會主動下載並執行部份惡意的程式碼，或被暗地裡導入到惡意 的網站，而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能，加入許多允許使用者輸入字串的欄位，如：留言板、討論區、查詢欄位等；有 些互動的功能能將使用者輸入的字串存入後端資料庫，如果駭客輸入某些含有攻擊式的語言，一旦使用者進入此頁面時，因執行未預期的動作而將遭受某種程度的威 脅。

聯成電腦網站被XSSed發現存在XSS(Cross-Site Scripting)安全漏洞，到目前為止，尚未修復。

跨站腳本攻擊(XSS)：駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言，造成其他正常使用者在觀看網頁的同時，瀏覽器會主動下載並執行部份惡意的程式碼，或被暗地裡導入到惡意 的網站，而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能，加入許多允許使用者輸入字串的欄位，如：留言板、討論區、查詢欄位等；有 些互動的功能能將使用者輸入的字串存入後端資料庫，如果駭客輸入某些含有攻擊式的語言，一旦使用者進入此頁面時，因執行未預期的動作而將遭受某種程度的威 脅。

中華新時代協會網站被植入惡意連結，此惡意程式為 TSPY_ONLINEG.FYU，最近有瀏覽這個網頁的網友，請要盡速檢查自己的電腦是否有中毒的情形。(Credit: Google)

對此網址，McAfee SiteAdvisor、趨勢科技網頁信譽評等(Web Reputation Service)查詢結果，都顯示正常，證明此種技術並非Web安全威脅的完美解決分案，換言之，資訊安全絕對無法做到百分百的安全。